Encore des saletés

Le
Gloops
Bonjour tout le monde,

Il semble bien si j'en crois MBAM que je me retrouve avec un rootkit et
ce qui va avec (chevaux de Troie )

Il y a des gens qui se spécialisent dans le nettoyage de ce genre de
trucs, mais il semble qu'ils soient en vacances.

Quelqu'un se sent-il de plonger dans des fichiers logs ?
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Herser
Le #26405420
Salut !
1- Donne le rapport de MBAM (journal d'activité), après un nouveau scan en
activant l'option Rootkit, selon ce tuto :
http://forum.security-x.fr/tutoriels-317/tutoriel-malwarebytes-anti-malware-version-2/
2- Puis fais un nettoyage avec RogueKiller, avec rapport de nettoyage ici
Suivre ce tuto :
http://www.adlice.com/fr/logiciels/roguekiller/roguekiller-tutoriel-officiel/
Liens de téléchargement :
http://www.fosshub.com/RogueKiller.html#clickToStartDownload
C'est une version 32 et 64 bits.
Après le prescan, faire le scan puis "Suppression"
Copier ici le rapport de "Suppression" RKReport.txt présent sur le Bureau
3- Complète par un rapport de contrôle ZHPDiag (tu connais le mode d'emploi)
Envoie le rapport sur Cjoint, avec lien de consultation ici.
Herser
Gloops
Le #26405429
Bonjour Herser, merci pour cette prise en charge.
Le 23/07/2016 à 12:03, Herser a écrit :
Salut !
1- Donne le rapport de MBAM (journal d'activité), après un nouveau scan
en activant l'option Rootkit, selon ce tuto :
http://forum.security-x.fr/tutoriels-317/tutoriel-malwarebytes-anti-malware-version-2/

Ah mais justement, la difficulté est là : malgré la mise à jour, MBAM me
dit qu'il ne peut pas charger son pilote anti-rootkit, et me signale que
justement ça peut être dû à un rootkit (si je me rappelle bien, erreur
SDK 20025).
Il y a environ deux semaines j'ai fait une série d'analyses de chez
Nicolas Coolmann : ZPHDiag trouve des chevaux de Troie mais ZHPCleaner
ne voit rien. J'ai demandé chez eux puisque c'est leurs produits, mais
Windows XP ils ne veulent pas trop en entendre parler.
J'ai retenté MBAM et c'est là que j'ai eu, déjà avec la version
précédente, le message sur l'anti-rootkit qu'on ne peut pas charger,
c'est ça qu'il m'a encouragé à chercher une autre voie.
J'ai lancé gmer, mais le mode opératoire précise bien "ne touchez à rien
si vous ne connaissez pas". Et en Juillet, logique, ils sont sur les plages.
Donc alors MBAM me dit de nouveau, cette fois après mise à jour, qu'il
ne peut pas lancer son analyse anti-rootkit.
Et ça même en mode sans échec.
Je lance quand même la suite de l'analyse et je compte sur l'étape 2
pour le rootkit ?
Ou est-ce que j'en tiens compte pour changer l'ordre des opérations ?

2- Puis fais un nettoyage avec RogueKiller, avec rapport de nettoyage ici
Suivre ce tuto :
http://www.adlice.com/fr/logiciels/roguekiller/roguekiller-tutoriel-officiel/
Liens de téléchargement :
http://www.fosshub.com/RogueKiller.html#clickToStartDownload
C'est une version 32 et 64 bits.
Après le prescan, faire le scan puis "Suppression"
Copier ici le rapport de "Suppression" RKReport.txt présent sur le Bureau
3- Complète par un rapport de contrôle ZHPDiag (tu connais le mode
d'emploi)
Envoie le rapport sur Cjoint, avec lien de consultation ici.
Herser
Herser
Le #26405431
Poursuis avec RogueKiller et ZHPDiag
J'ai lancé MBAM Free sur un XP avec Rootkit coché, ça marche.
On aurait pu penser à une limite de MBAM sur XP, mais non.
Herser
Gloops
Le #26405433
Le 23/07/2016 à 14:42, Herser a écrit :
Poursuis avec RogueKiller et ZHPDiag
J'ai lancé MBAM Free sur un XP avec Rootkit coché, ça marche.
On aurait pu penser à une limite de MBAM sur XP, mais non.
Herser

Ah ben j'imagine qu'il y a rootkit et rootkit.
Les cambrioleurs ne pensent pas tous à bloquer la serrure pour empêcher
la police d'entrer.
Bon je vais regarder du côté de RogueKiller alors ...
Gloops
Le #26405439
Le 23/07/2016 à 12:03, Herser a écrit :
2- Puis fais un nettoyage avec RogueKiller, avec rapport de nettoyage ici
Suivre ce tuto :
http://www.adlice.com/fr/logiciels/roguekiller/roguekiller-tutoriel-officiel/
Liens de téléchargement :
http://www.fosshub.com/RogueKiller.html#clickToStartDownload
C'est une version 32 et 64 bits.


Bon, on n'est pas encore au bout.
Le programme d'installation (j'ai essayé plusieurs noms dont ceux
proposés) affiche une boîte de dialogue qui me demande la langue
d'installation, puis il se met en icône dans la barre des tâches, et de
là le menu contextuel ne contient que réduire et fermer, sinon il y a
restaurer, mais qui est désactivé. Au bout de plusieurs minutes il ne
s'est toujours rien passé.
J'imagine que ce n'est pas la peine d'aller y bricoler à partir d'un
script pour agrandir la fenêtre ?
Que ce n'est pas la peine non plus en mode sans échec vu qu'il n'y a pas
le service d'installation ?
Je pourrais le laisser comme ça toute la nuit ?
Gloops
Le #26405438
Le 23/07/2016 à 16:25, Gloops a écrit :
Le 23/07/2016 à 12:03, Herser a écrit :
2- Puis fais un nettoyage avec RogueKiller, avec rapport de nettoyage ici
Suivre ce tuto :
http://www.adlice.com/fr/logiciels/roguekiller/roguekiller-tutoriel-officiel/
Liens de téléchargement :
http://www.fosshub.com/RogueKiller.html#clickToStartDownload
C'est une version 32 et 64 bits.

Bon, on n'est pas encore au bout.
Le programme d'installation (j'ai essayé plusieurs noms dont ceux
proposés) affiche une boîte de dialogue qui me demande la langue
d'installation, puis il se met en icône dans la barre des tâches, et de
là le menu contextuel ne contient que réduire et fermer, sinon il y a
restaurer, mais qui est désactivé. Au bout de plusieurs minutes il ne
s'est toujours rien passé.
J'imagine que ce n'est pas la peine d'aller y bricoler à partir d'un
script pour agrandir la fenêtre ?
Que ce n'est pas la peine non plus en mode sans échec vu qu'il n'y a pas
le service d'installation ?
Je pourrais le laisser comme ça toute la nuit ?


J'ai essayé en ajoutant /q sur la ligne de commande mais ça n'a pas eu
l'air de changer grand chose.
Herser
Le #26405446
Passe par le Live CD de Malekal en bootant sur lui, hors Windows
Et lance RogueKiller
http://www.malekal.com/malekal-live-cd/
Gloops
Le #26405449
Le 23/07/2016 à 17:35, Herser a écrit :
Passe par le Live CD de Malekal en bootant sur lui, hors Windows
Et lance RogueKiller
http://www.malekal.com/malekal-live-cd/

Il faut que je passe par une autre machine, pour graver ça, j'imagine ?
C'est ballot, je n'arrive pas à remettre la main sur mon UBCD.
Gloops
Le #26405503
Le 23/07/2016 à 17:35, Herser a écrit :
Passe par le Live CD de Malekal en bootant sur lui, hors Windows
Et lance RogueKiller
http://www.malekal.com/malekal-live-cd/


Il s'est avéré qu'il m'a fallu le week-end pour nettoyer la machine
Vista sur laquelle je vais graver le CD.
Il reste un "Superfluous.Conduit", mais il paraît que ce n'est pas méchant.
Donc maintenant, après avoir téléchargé et installé ce qu'il faut je
vais pouvoir graver ça. Peut-être qu'il faudra que je ressorte
l'alimentation du lecteur de CD. Le portable a eu une belle longévité
par rapport à ceux que j'ai eus avant, mais on dirait qu'il fournit
moins de jus qu'au début par le port USB.
Gloops
Le #26405505
Le 23/07/2016 à 17:35, Herser a écrit :
Passe par le Live CD de Malekal en bootant sur lui, hors Windows
Et lance RogueKiller
http://www.malekal.com/malekal-live-cd/

Bonjour,
Le démarrage du CD a été un peu laborieux, mais j'y suis arrivé.
En revanche je suis un peu partagé quant à ce que j'ai pu tirer de
Roguekiller.
J'ai copié l'onglet MBR (le seul autre qui ne soit pas vide est celui du
registre) :
******************** Début *************************
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 71383873d2a7b01af4bbf06ac7494931
[BSP] d9065bc85004ac5c1babddf702ed95ef : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 152616 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 379d6ece31b034fe0bc03ac0d9f2d6ba
[BSP] df4f83c1f72e36823a12b0dfc7617313 : Empty MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 8192 | Size:
29660 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
******************** Fin *************************
Des fois que ça soit bon à savoir, je précise que le portable était
vendu avec une partition de restauration système, que jamais personne
n'a su me faire fonctionner. Dans l'affolement on a fini par me répondre
"ah oui mais pas pour ce modèle".
Autrement sur le CD j'ai vu MBAM, mais que je n'ai pu faire fonctionner
faute de mise à jour.
En insistant un peu il doit y avoir le support réseau, à ce que j'ai vu.
La carte wifi n'était pas reconnue, mais ça aurait peut-être mieux
fonctionné si je l'avais allumée (en général j'attends de voir
l'interface utilisateur de l'antivirus et du pare-feu).
La carte ethernet était reconnue, mais je n'ai pas pu me connecter. En
ethernet il faut le paramétrage du serveur, aussi, non ?
Publicité
Poster une réponse
Anonyme